Hiljutises ilmutuses on UEFI-süsteemide esimese astme alglaadurina toimiva keskse komponendi shim arendajad avaldanud oma uusimas versioonis 15.8 kriitilise turvavea. Selle haavatavuse CVE-2023-40547 järgi on CVSS-i skoor 9.8, mis kujutab endast olulist ohtu suuremate Linuxi distributsioonide turvalisusele. Microsoft Security Response Centeri (MSRC) Bill Demirkapi avastas ja teatas, et viga toob kaasa koodi kaugkäitamise ja turvalise alglaadimise möödaviigu võimaluse. See haavatavus, mis esineb igas viimase kümnendi jooksul allkirjastatud Linuxi alglaaduris, on tekitanud muret selle laialdase mõju pärast.
Üksikasjad CVE-2023-40547
Kriitiline haavatavus peitub shim-i http-käivitustoes ja selle tõi päevavalgele Alan Coopersmith Oracle'ist. See viga avab HTTP-vastuste töötlemisel ukse kontrollitud piiride välisele kirjutamisprimitiivile. Sisuliselt võib see kaasa tuua turvalise alglaadimise möödaviigu, mis võimaldab vastastel käivitada kaugkoodi ja kahjustada kogu süsteemi. Püsivaraturbefirma Eclypsium tõi esile HTTP-protokolli käsitlemise haavatavuse päritolu, mis viis piiridest väljakirjutamiseni, mis võib kaasa tuua süsteemi täieliku ohu.
Hüpoteetilise ärakasutamise stsenaariumi korral võivad ründajad seda viga kasutada, et laadida ohustatud alglaadija, hõlbustades Man-in-the-Middle (MiTM) rünnakuid võrgule. Selle haavatavuse tõsidust rõhutab asjaolu, et see hõlmab kõiki eelmisel kümnendil allkirjastatud Linuxi alglaadurit, mis tähendab olulist võimalikku mõju paljudele süsteemidele.
Täiendavad Shim haavatavused
Shim versioon 15.8 ei käsitle mitte ainult CVE-2023-40547, vaid parandab ka viis täiendavat turvaauku, millest igaühel on oma potentsiaalsete tagajärgede komplekt. Need haavatavused hõlmavad piirideta lugemist ja kirjutamist, puhvri ületäitumist ning autentimiskoodi ja SBAT (Secure Boot Advanced Targeting) teabe käsitlemisega seotud probleeme.
Suuremate Linuxi distributsioonide kohesed vastused
Olukorra tõsidust tunnistades on suured Linuxi distributsioonid, nagu Debian, Red Hat, SUSE ja Ubuntu, viivitamatult avaldanud nende turvavigade kohta nõuandeid. Kasutajatel palutakse tungivalt värskendada oma süsteeme uusimale shim-versioonile, et leevendada nende haavatavustega seotud võimalikke riske.
Avastamine ja sarnased ohud
Neid haavatavusi ära kasutava pahavara tuvastamisnimesid ei ole veel laialdaselt avalikustatud. Arvestades Shim RCE haavatavuse olemust, soovitavad turvaeksperdid jälgida võrguliiklust kahtlaste HTTP-päringute ja kasulike koormuste suhtes. Sarnased ohud, mis kasutavad alglaaduri turvaauke, võivad hõlmata ründeid püsivara, UEFI või muude alglaadimisprotsessi kriitiliste komponentide vastu.
Eemaldamise juhend
Segu versioonis 15.8 käsitletud haavatavuste olemuse tõttu on põhjalik eemaldamisjuhend hädavajalik. Järgige neid samme, et tagada võimalike ohtude täielik eemaldamine.
- Värskenda Shim: Värskendage viivitamatult vaheseinte komponent versioonile 15.8 või uuemale versioonile, kasutades oma Linuxi distributsiooni ametlikke hoidlaid.
- Kontrollige süsteemi terviklikkust: Kontrollige süsteemifailide ja alglaaduri komponentide terviklikkust, kasutades teie Linuxi distributsiooni pakutavaid tööriistu.
- Võrgu jälgimine: Jälgige võrguliiklust kahtlaste HTTP-päringute või kasulike koormuste suhtes, mis võivad viidata käimasolevale rünnakule.
- Rakendage turvapaigad: Pideva kaitse tagamiseks kontrollige regulaarselt oma Linuxi distributsiooni pakutavaid turvapaiku ja rakendage neid.
Ennetamise parimad tavad
Tulevaste nakkuste vältimiseks ja oma süsteemi üldise turvalisuse parandamiseks kaaluge järgmisi parimaid tavasid.
- Regulaarsed värskendused: Hoidke oma operatsioonisüsteem, alglaadur ja kogu installitud tarkvara uusimate turvapaikadega ajakohasena.
- Võrgu segmentimine: Rakendage võrgu segmenteerimist, et piirata võimalike rünnakute mõju ja vältida külgsuunalist liikumist võrgus.
- Kasutaja haridus: Õpetage kasutajaid kahtlaste linkide, manuste ja veebisaitide vältimise tähtsusest, et vähendada sotsiaalse manipuleerimise rünnakute ohvriks langemise ohtu.
- Püsivara turvalisus: Värskendage ja kaitske püsivara komponente regulaarselt, et kõrvaldada aluseks oleva riistvara võimalikud haavatavused.
Järeldus
Shim RCE haavatavus kujutab märkimisväärset ohtu Linuxi süsteemide turvalisusele ja selle võimalik mõju paljudele süsteemidele nõuab viivitamatut tegutsemist. Järgides kaasasolevat eemaldamisjuhendit ja rakendades ennetamise parimaid tavasid, saavad kasutajad tugevdada oma süsteeme selle kriitilise küberohu vastu ja säilitada vastupidava kaitseasendi, pidades silmas arenevaid turvaprobleeme.